一、计算机舞弊的概念
计算机舞弊是指对计算机系统的舞弊和利用电子计算机系统进行舞弊,前者是以计算机及相应设备、程序和数据为对象,通过故意掩盖真相、制造假相或以其他方式欺骗他人、掠取他人财物或以不正当目的而实施的任何不诚实、欺诈的故意行为,后者是利用计算机作为实现舞弊的基本工具,利用计算机编制程序进入其他系统进行舞弊。
二、计算机舞弊的手段
不同类别的人员采取的舞弊方法不同:系统人员一般采用篡改系统程序软件和应用程序,非法操作等手段;内部用户一般采用篡改输入输出方法;外来者一般采用终端篡改输入或其他如盗窃、破坏等手段。段之一是利用计算机进行偷窃;另一种是人工行窃。
具体又分以下几种:
(一)篡改输入数据:这是计算机舞弊中最简单、最常用的方法。数据要经过采集、记录、传递、编码、检查、核对、转换等环节后进入计算机系统,数据有可能在输入计算机之前或输入过程中被篡改从而达到舞弊目的。常用手法包括虚构、修改、删除业务数据。
(二)篡改系统程序:包括非法修改程序和编制非法程序两个方面。前者是通过非法修改计算机程序指令系统,使计算机执行篡改过的程序来舞弊;后者是在程序交付使用时,预先设置陷阱以实现舞弊的目的。其表现有以下几种:
(1)木马计。这是在计算机中最常用的一种欺骗破坏方法。在计算机程序中编进指令,使之执行未经授权的功能,这些指令还可以在被保护或限定的程序范围内接触所有供程序使用的文件。
(2)逻辑炸弹。逻辑炸弹是计算机系统中适时或定期执行的一种计算机程序,它能确定计算机中触发未经授权的有害事件的发生条件。逻辑炸弹被编入程序后,根据可能发生或引发的具体条件或数据产生破坏行为,一般采用木马的方法在计算机系统中设置逻辑炸弹。(3)天窗。开发大型计算机应用系统,程序员一般要插进一些调试手段,即在密码中加进空隙,以便于日后增加密码并使之具有中断输出的功能。在正常情况下,程序完成时要取消这些天窗,但有些不道德的程序员为了以后损害计算机系统,有意留下天窗。
(三)篡改文件:指操作者通过维护程序或直接通过终端修改文件。在计算机会计系统中,许多重要的原始参数以数据的形式保存在计算机文件中,一旦修改这些原始参数,将不能得出正确结果。包括直接更改数据参数,以及构造结构相同、数据不同的文件覆盖原有文件。
(四)篡改输出:仿造与模拟往往发生在计算机系统的输出环节,在个人计算机上仿造其他计算机程序,或对舞弊计划方法进行模拟试验,然后实施让输出系统得出虚假会计数据。通过非法修改、销毁输出报表,将输出报表送给公司竞争对手,利用终端窃取输出的机密信息等手段达到舞弊目的。另外,物理接触、电子窃听、译码、拍照、拷贝、复印等也是常见的舞弊手法。
三、网络环境下舞弊的方法和手段
(一)硬件系统舞弊的方法
硬件系统舞弊的方法主要包括以下几点
1、非法操作。计算机系统的操作人员对硬件设备的不正确操作即不按规定的程度使用硬件设备可以引起系统的损坏,从而危害系统的安全至系统完全毁灭。
2、毁坏、盗窃硬件设施、掩盖舞弊。有些破坏者出于某种目的,如发泄私愤或谋取不法利益或窃取对方企业的重要信息或掩盖舞弊罪行,用暴力的方式破坏、盗窃计算机设备,后果严重。
3、非法插入硬件装置。在原有的计算机系统中,非法加入硬件设备,如一笔收入记账时后台人员出于非法目的接入备用机运行,操作者在前台终端看到该收入已经入账,实际并未入账,资金被转移或者在通讯设备中装入一定装置截取机密。
4、破坏传输系统。对于网络系统来说,传输系统无疑是生命线,破坏传输系统可以使系统中断甚至瘫痪。
(二)软件系统舞弊的方法
会计软件自身存在的问题是发生舞弊行为的主要原因。目前投入使用的电算化会计软件无论是通用(商品化)会计软件还是企业专用会计软件,都或多或少地存在功能设置缺陷或漏洞。他们并不影响日常会计处理的正确性和速度,但可以被用来进行会计舞弊。
例如,由于磁存贮介质本身的特性,在计算机上无法模拟标准的“划线更正法”,因此有些电算化会计软件为了操作上的方便就通过直接修改已生成账簿的记账凭证来实现这个功能,修改完后再重新记账和试算平衡;另有一些比较严谨的软件则需要先编制一份专门的记账凭证以替代原先错误的凭证,然后再进行记账和试算平衡。在电算化系统日常运行过程中,它们都是正确的,但都可以被用来进行舞弊。如在第一种方法下只要存在管理上的不严格,就可能导致账簿数据被任意修改,软件设计完全没有考虑到防止舞弊的需要;第二种方法虽然是用新的记账凭证代替原先的凭证,但实际上也可以用来做相同的事情,并且这些修改都可以是不留痕迹的。
具体做法如下:
1、在计算机程序中,暗地编进非法指令,使之执行未经授权的功能,这些指令能够在被保护或限定的程序范围内接触所有供程序使用的文件。这是最常见的软件舞弊而且不易被发现和预防
2、通过在单位的软件系统中加入非法的程序,从系统处理的大数量的资财中截取一小部分转入预先设计好的数据文件中,在总体上不易被发现。
3、有些应用系统开发时,程序员插进密码和为程度调试手段或以后维护和改系统时使用,称作“天窗”,在正常情况下,程序终止编辑时,天窗即被取消,如果系统中有意插入或无意留下的天窗被利用,则系统必然存在安全隐患。
4、软件程序中加入“逻辑炸弹”。逻辑炸弹是计算机系统中适时或安定期执行的一种破坏性程序,它通过设定系统中未经授权的有害事件的发生条件,当系统运行过程中引发或满足其具体条件时产生破坏的行为。
5、联机实时系统中,计算机系统自动验证用户身份,如果某隐蔽的终端通过电话接转设备与同一线路连接,并在合法用户没有使用终端之前运行,则计算机有可能无法进行区分,只能认定前者为合法用户,使作弊者乘虚而入。
6、冒名顶替是作弊者通过各种方法获得被作弊系统合法用户的口令、指纹等系统用以验证身份的信息,然后以合法身份登录系达到舞弊目的的方法。
(三)针对数据发生的舞弊
1、篡改输入是计算机舞弊中最简单、最常用的方法。它是指数据在输入计算机之前或输入过程中被篡改,使舞弊数据进入系统。
2、非法操作是包括合法用户不按操作规程操作系统或非法用户非法操作系统、改变计算机系统的执行路径从而可能破坏数据安全的行为。
3、篡改输出。由于数据存储在磁盘、光盘、胶片之类的信息媒体上,人的肉眼无法直接识别,操作者通过篡改输出以蒙蔽检查而数据文件中的实际数据已被更改的舞弊。
4、数据传输泄露。计算机要通过电话线、网络、卫星等传输媒介来传输信息。如不采取有效的安全保护措施,都存在着传输泄露。如通过一定设备在网络数据传输过程中直接截取信息、接收计算机设备和通讯线路辐射出的电磁波信号等是高技术环境下不能忽视的。
5、数据存储泄露。计算机和各种网络随时不断向软磁盘、硬盘、光盘等介质上存放信息,包括保密信息。如没有有效的保护,就有丢失和被人窃取的可能。
6、废载体信息泄露。计算机系统的信息都存储在芯片、软盘、硬盘等载体上,由于操作不当或机器发生故障等原因,可能造成这些信息载体的报废。报废的载体若管理不当经某种技术处理就可以获得其内部信息而被利用。
(四)计算机病毒
网络化系统中,计算机病毒不再主要靠磁盘或光盘传播,开始通过网络传播。各种软件的频繁安装、卸载、互联网收发邮件、下载各种软件及访问各种站点都成了病毒的可能来源,对会计信息系统构成了极大的威胁。
(五)网络黑客
黑客是指非授权侵入网络的用户或程序,它是网络系统最大的外界威胁,主要通过各种方式捕获合法用户的信息尤其是口令、信用卡密码等或者对系统进行强行攻击,登陆系统后进行非法活动。
(六)修改程序
目前在我国,除了商品化的会计软件外,大多数单位的计算机会计系统是由高校、科研单位或本单位的计算机人员设计的。他们在设计应用软件时,就经过单位领导授意,加入丁一些“特别”程序。如有的系统,账户试算平衡时,将借方总数直接移到贷方,造成借贷永远平衡的假象,有的系统,固定资产为负数时,仍旧可以提取折旧。这样,无论单位怎样弄虚作假,会计核算的结果却永远“正确”。
舞弊的具体方法有如下几点:
1、木马计。这是在计算机程序中最常用的一种欺骗破坏方法。木马计主要是借作公元前1200年古希腊战争中,把士兵隐藏在木马腹中进入敌方城堡,出其不意而攻占城堡的故事,来表示以程序为基础进行欺骗的方法。在计算机程序中,暗地编进指令,使之执行示经授权的功能,木马计并不影响计算机会计系统的正常运行,只是在系统的运行到某一特定部位时,执行特殊指令后返回原程序,继续执行后续命令,以达到舞弊目的。
例如,某企业是外商投资性生产企业,生产经营期限20年,并且属于高新技术产业。根据国家税法规定,享受“免二减三”的所得税优惠政策。该企业1994年成立。至2000年已满“免二减三”优惠期,需要缴纳企业所得税。于是该企业在电算化程序中编进指令,令其自动在年度将利润生成“负数”,以达到逃税的目的。
2、越级法。这是一个只在特殊情况下(当计算机出现故障,运转异常时)使用的计算机系统干预程序。这种程序能越过所有控制,修改或暴露计算机内容。这种应用程序一般仅限于系统程序员和计算机操作系统的维修人员使用,但也不排除被一些不法分子使用以达到其不法目的。
3、截尾术。从大量资财中窃取一小部分,这种手法称为截尾术,也就是只对构成总数的明细项目进行调整,而保持总数不变,以达到取走一部分而又不会在总体上被发现的目的。
例如,某单位电话总机,对用户活费计算至“分”.而“分”后面的数字采取“四舍五人”的方法处理,从而形成尾差。在计算机不断地“四舍五人”的运算过程中,有些账户系统余额就会比正确的近似值多一分或少一分,而所有账户的总数仍将保持平衡,该总机就是采用这种方法,为部门积累可观的钱财。
4、逻辑炸弹。逻辑炸弹是计算机系统中适时或定期执行的一种计算机程序,它能确定计算机中促发未经授权的有害事件的发生条件。逻辑炸弹被编人程序后,根据可能发生或引发的具体条件或数据产生破坏行为。如某工资核算系统的程序员在系统中安放了一颗逻辑炸弹,一旦他的名字从工资文件中取消(被解雇),某一程序会自动引发,从而使得全部工资文件被擦除干净。
5、活动天窗。活动天窗是一种由计算机会计系统程序编制人员有意安排的指令语句。开发大型计算机应用系统,程序员一般要插进一些调试手段,即在密码中加进空隙,以便于日后增加密码并使之具有中期输出能力。在正常情况下,终期编辑,要取消这些天窗,但常被忽视,或有意留下,以备将来接触、修改之用。有些不守规的程序员为了以后损害计算机系统,会有意插入天窗。
6、陷阱术。陷阱术是指在程序中设立一个秘密的未说明的进入程序模块的入口方法,这个秘密的入口即为陷阱。设立陷阱的意图是在系统正式投入运行之后,能让设立陷阱的程序员有访问系统的入口。
四、计算机舞弊的防范措施
防止舞弊发生的有效手段是控制,尤其是建立健全有效的内部控制系统。具体措施如下:
(一)选择好的财务软件,从源头上进行控制
实行会计电算化时,企业必须结合自身的特点和国家的有关规定开发和选择适合的财务软件。目前我国已经颁布的有关国家标准和规范主要有财政部1994年颁布执行的《会计电算化管理办法》、《会计核算软件基本功能规范》、《会计电算化工作规范》、《商品化会计核算软件评审规则》等。按标准和规范开发和发展计算机会计系统可以使企业计算机会计系统更加可靠、更加完善,有利于对系统的维护和进一步的发展、更新。外购的商品化软件应要求软件制作公司系统运行前对有关人员进行培训,包括系统的操作培训,系统投入运行后新的内部控制制度,计算机会计系统运行后的新的凭证流转程序、计算机会计系统提供的高质量会计信息的进一步利用和分析的前景等等。企业内部审计人员可就如何选购财务软件,如何实施有效的系统安全控制和如何改进现有的财务管理模式提供咨询服务,并按照标准对网上商业活动的完整性、真实性和可靠性进行全面签证。
(二)建立有效的内部控制
防范舞弊最有效的办法是保持一个有效的内部控制系统。在计划内部审计业务时,内部审计师应关注控制弱点。实施会计电算化,需要建立与之相配套的一系列内部控制制度加以约束,才能充分发挥其优势。
(1)职责分离。
第一,电算化部门与用户部门分离。担任电算化部门工作的人员不得兼任批准会计业务的工作,计算机会计系统的操作人员不能参与软件的修改。如企业应将系统分析、程序设计、计算机操作、数据输入、文件程序管理等职务予以分离,系统操作人员、管理人员和维护人员这三种不相容职务相互分离,以减少利用计算机舞弊的可能性。
第二,电算化内部职责分离。不相容职务主要有系统开发、发展与系统操作;数据维护管理与电算审核;数据录人与审核记账;系统操作与系统档案管理等。凡上机操作人员必须经过授权,禁止原系统开发人员接触或操作计算机;熟悉计算机的无关人员不允许随意进入机房;系统应有拒绝错误操作的功能,留下审计轨迹。同时,还应建立职务轮换制度。
(2)一般控制。
第一,系统安全控制。包括实体安全、硬件安全、软件安全、网络安全(用户权限设置、密码设置),病毒的防范与存取技术控制;信息加密保护;设置日志文件。具体措施包括建立设备、设施安全措施,档案保管安全控制,联机接触控制等;使用侦测装置、辩真措施和系统监控等;规定建立备份或副本的数量和时间,以及由谁建立和由谁负责保管;当系统被破坏需要恢复时,应先经有关领导同意,决不允许轻率地进行系统恢复工作,以防利用系统恢复时修改。
第二,操作控制。包括操作权限控制和操作规程控制两个方面。权限控制是指每个岗位的人员能按照所授予的权限对系统进行作业,不得超越权限接触系统。如制定并实施操作规程,包括软硬件操作规程,作业运行规程,用机时间记录规程等;每项达到重要性水平的业务要经过领导授权与认可;对业务人员进行培训,提高他们对系统的理解和认识,以减少系统运行后出错的可能性;在内审人员的参与下进一步完善企业具体规章制度,包括轮流值班制度、上机记录制度、完善的操作手册、上机时间安排等。
(3)应用控制。主要包括业务发生控制、数据输入、数据处理、数据输出等环节的控制。
第一,业务发生控制。在经济业务发生时,通过计算机的控制程序,对业务发生的合理性、合法性和完整性进行检查和控制。如表示业务发生的有关字符、代码等是否有效、操作口令是否准确、以及经济业务是否超出了合理的数量、价格等的变动范围。
第二,数据输入控制。即要求输入的数据应经过必要的授权,并经有关内部控制部门检查,凡输入的凭证均应经过复核,复核的方法可采用各种技术手段对输入数据的正确性进行校验;有专门录入操作人员,录入操作人员除录入数据外,不允许将数据修改或复制;录入数据资料在输入前必须经过有关负责人审核批准,对输入的数据要进行必要校对,如总数控制校验、平衡校验、数据类型校验、重复输入校验等。
第三,数据处理的控制。指对计算机会计系统进行数据处理的有效性和可靠性进行的控制。具体措施包括输出审核处理;通过重运算、逆运算、溢出检查等进行处理有效陛检测;错误纠正控制;余额核对;试算平衡等。会计软件的修改必须经过周密计划和严格记录,修改过程的每一个环节都必须设置必要的控制,修改的原因和性质应有书面形式的报告,经批准后才能实施修改,所有与软件修改有关的记录都应该打印后存档。第四,数据输出控制。对于输出的纸介质的会计资料应由专人进行核对,检查其完整性、正确性、检查打印的账薄和报表页号是否连续,有无缺漏或重叠现象。主要措施有建立输出记录,建立标准化的报告编制、收发、保管工作;建立输出的授权制度;建立数据传送的加密制度;严格减少资产的文件输出,如开支票、发票、提货单要经过有关人员的授权,并需要有关人员审核签章。
(三)积极开展计算机审计
对会计电算化舞弊的审查除了借鉴传统审计方法,如分析性复核、审阅与核对法、盘点实物、查询及函证外,最有效的是根据网络会计系统的特点有针对性地进行审查。由于舞弊者主要通过输入、输出、软件这三个途径入侵系统,相应地从这三方面探讨计算机舞弊的审查方法。对会计资料定期进行审计,审查电算化会计账务处理是否正确,是否遵照有关法律法规的规定,审核费用签字是否符合有关内控制度,凭证附件是否规范完整等,审查电子数据与书面资料的一致陛,如查看账册内容,做到账表相符,对不妥或错误的账表处理应及时调整,监督数据保存方式的安全、合法性、防止发生非法修改历史数据的现象,对系统运行各环节进行审查,防止存在漏洞。内部审计人员为了对被审计单位会计资料的公正性发表意见,必须首先研究和评价内部控制。在研究评价过程中,必须特别考虑篡改输入、篡改文件、篡改程序,以及非法操作的可能性。已发现内部控制弱点,都应报告被审计单位主管人员,以引起其注意并提出相应的建议。
(四)完善计算机安全与防范犯罪的法制建设
会计电算化犯罪是高科技下的一种新型犯罪,必须制定专门的法规对此加以有效控制。
(1)积极促进在立足我国国情的基础上参照国际有关法律法规,制定与远程审计有关的法律规章 建立计算机系统本身安全的保护法律,明确行为属于计算机舞弊行为及其惩处方法,使计算机安全措施法制化;
(2)建立针对计算机犯罪活动的法律,明确计算机系统中哪些东西或哪些方面受法律保护及受何种保护以达到惩治违法者、保护受害人的目的。